A pesar de que el mayor aumento en el número de casos de «ransomware» en Europa se encuentra en España, hay otros países que también están experimentando un aumento en los ataques relacionados con su uso. En Alemania, por ejemplo, la amenaza ha crecido un 145% durante el último trimestre. A este estado le siguen otros como Reino Unido (80%) o Francia (30%). En términos generales, según Check Point, el uso de este tipo de código ha aumentado un 50% en dicho periodo de tiempo. Y, en buena medida, por culpa del teletrabajo.
Como es bien sabido, la Covid-19 ha obligado a miles de trabajadores a abandonar la oficina y cumplir con sus obligaciones desde el sofá de casa. Para que fuese posible, las compañías han tenido que implementar soluciones en remoto. Algo que, en muchos casos, se ha hecho con prisas y de forma deficiente. Eusebio Nieva director técnico de Check Point en España y Portugal, explica a ABC que el aumento en el número de casos de «ransomware» en España no se debe a que estemos peor protegidos que los países de nuestro entorno; sino a que el confinamiento social ha sido mayor.
«En estos momentos hay muchos más usuarios en casa y las medidas de proteccion no son tan buenas como en la empresa. Somos más vulnerables. Por otro lado los ataques de tipo «ransomware» están teniendo mucho éxito. Hemos visto algunos casos muy sonados en los que las empresas han pagado el rescate. Evidentemente, si los cibercriminales ven que tienen éxito y que da dinero van a seguir utilizándolos», dice Nieva que, además, hace hincapié en que, a pesar del paso de los meses, muchas empresas no han sido capaces de mejorar sus sistemas de seguridad.
El mayor enemigo de las empresas
Sea como fuere, este tipo de virus lleva tiempo siendo un quebradero de cabeza para las empresas españolas y los encargados de su defensa. Según un reciente informe de la firma de ciberseguridad Sophos, en el que participaron 5.000 responsables de TI de empresas de 26 países del mundo, durante 2019 el 51 por ciento de las compañías sufrieron un ataque de este tipo. Cifra que crecía en el caso concreto de España hasta alcanzar el 53 por ciento.
«Un ataque de «ransomware» tiene muchas implicaciones. Por un lado, económicas. El gasto de recuperar el control se encuentra en los 730.000 dólares de media a nivel mundial. Por lo que el impacto económico es grande. Luego, evidentemente, también supone problemas operacionales y reputacionales para la compañía que lo sufre», explicaba por entonces a este periódico Ricardo Mate, director general de Sophos Iberia.
Probablemente, el virus más conocido de este tipo es WannaCry, que en 2017 consiguió paralizar la actividad de empresas tan importantes como Telefónica. Sin embargo, según los expertos, con el paso de los años este código se ha quedado bastante atrás en capacidades respecto a lo que son capaces de hacer otros más modernos. Como Ryuk que, según estimaciones de Check Point, ataca a una media de 20 compañías cada semana. «Lleva activo desde 2018 y es muy sofisticado. Se usa en ataques muy específicos. Una vez compromete un equipo intenta trasladarse de forma lateral al resto de dispositivos que comparten un dominio. Utiliza ingeniería social para engañar al usuario y que lo descargue», explica a ABC el «hacker» Deepak Daswani sobre este ransomware.
Ataques en dos pasos
A diferencia de otros, Ryuk se emplea contra objetivos concretos. Fue el código utilizado a finales del año pasado para atacar a empresas como Prisa Radio, Everis o Prosegur. Desde Check Point apuntan que en estos momentos se está empleando directamente contra entidades sanitarias, ya que ha impactado a casi un 4% de organizaciones a nivel mundial en el tercer trimestre del año, casi el doble que en el periodo anterior (2,3%). «El empleo de un virus concreto o de otro depende mucho del grupo de ataque. Cada tendencia está asociado a un conjunto de grupos de ciberdelincuentes con un conocimiento común del virus. Ryuk es un virus que está pensado para infiltrarse», explica el director técnico de Check Point.
A lo largo de este 2020 los cibercriminales han incorporado una nueva táctica a su arsenal ofensivo, el «ransomware» de doble extorsión. Por medio de esta variante, que se ha convertido en una tendencia extendida en el primer trimestre del año, los criminales realizan el ataque en dos pasos. «Este ataque permite que antes del cifrado de la informacion se extraiga una parte para amenazar a la empresa afectada con hacerla pública. Lo que es un acicate para pagar un rescate. Si quieres tus datos tienes que pagar. Además, filtran parte de los datos en la «dark web» para que vean que vas en serio», apunta Nieva.
Pagar no garantiza nada
Pagar un rescate, que es lo que buscan los ciberdelincuentes que emplean estas amenazas, no garantiza que la víctima vaya a recuperar la información que le ha sido arrebatada con el empleo de un «ransomware». Y tampoco se trata de la forma más barata de recuperar el control de los datos y de los dispositivos secuestrados. Según se explica en un informe de la empresa de ciberseguridad Sophos, las compañías que sufrieron un ataque de este tipo en 2019, pero se negaron a pagar, tuvieron unas pérdidas medias, a nivel mundial, de 730.000 dólares. En el caso de las que terminaron accediendo al pago, la cifra ascendió hasta los 1,2 millones de dólares.
«Pagar no es una solución. Hay muchas veces en las que los cibercriminales cometen errores de programación y la información termina siendo irrecuperable. En otras ocasiones gracias a esos errores se ha conseguido acceder a sus servidores o descifrar su contenido sin pagar», apunta Nieva.
Para hacer frente al «ransomware», desde Check Point se recomienda formar a los empleados para que puedan identificar y evitar potenciales amenazas. También se debe realizar copias de seguridad de toda la información corporativa (o al menos la más importante) con regularidad y combinando formatos digitales y físicos. De esta forma, aunque se cifren los equipos, se podrá recuperar los datos desde alguna fuente externa. Asimismo, hay que tener todos los sistemas y aplicaciones actualizados con la última versión disponible, ya que incorporan parches de seguridad para vulnerabilidades ya conocidas.